Se, kumpaan ryhmään toimija kuuluu, määritellään työtekijöiden määrän, liikevaihdon ja taseen loppusumman perusteella. Keskeiseksi toimijaksi määritellään organisaatiot, joiden palveluksessa on yli 250 työntekijää ja joiden vuosiliikevaihto on yli 50 milj. € tai joiden taseen loppusumma on yli 43 milj. €. Tärkeillä toimijoilla rajat ovat yli 50 työntekijää, vuosiliikevaihto on yli 10 milj. € tai taseen loppusumma on yli 10 milj. €

Molempia toimijoita koskee samat kyberturvallisuutta koskevat määräykset. Eroina on toisistaan poikkeavat sanktiomaksut sekä erot valvonnassa. Keskeisiin toimijoihin voidaan kohdistaa ennakkovalvontaa, jotta NIS2-direktiivin vaatimukset täyttyvät. Keskeisiin ja tärkeisiin toimijoihin voidaan kohdistaa jälkivalvontaa kyberpoikkeaman jälkeen. Mahdollisista rikkomuksista voidaan määritellä toimijalle sanktiomaksuja. Seuraamusmaksut velvoitteiden laiminlyönnistä on keskeisillä toimijoilla enintään 10 milj. € tai 2 % vuosittaisesta liikevaihdosta ja tärkeillä toimijoilla enintään 7 milj. € tai 1,4 % vuosittaisesta liikevaihdosta.

Johdon vastuu kyberturvallisuudesta korostuu

Direktiivi tuo velvoitteita toimijalle. Yksi näistä on raportointivelvoite merkittävästä kyberpoikkeamasta. Ensimmäinen ilmoitus on lähetettävä 24 tunnin kuluessa havainnosta valvovalle viranomaiselle. Jatkoilmoitus on tehtävä 72 tunnin kuluessa. Loppuraportti on toimitettava kuukauden kuluessa tapahtumasta. Valvova viranomainen voi pyytää tarvittaessa väliraporttia ilmoittajalta. Lisäksi viranomaisen on vastattava ilmoitukseen 24 tunnin kuluessa ja pyydettäessä annettava ohjeita poikkeamatilanteeseen. Toinen velvoitteista on tiedottaa palvelujen vastaanottajia, jos organisaatio tietää niihin kohdistuvasta merkittävästä kyberuhasta.

Merkittävin velvoite, jonka NIS2-direktiivi tuo, on riskienhallintavelvoitteet. NIS2 on riskipohjainen direktiivi, joten se tarkistelee uhkia riskipohjaisesti. Tavoitteena on estää tai minimoida poikkeaminen vaikutus palveluihin. Tämä edellyttää riskianalyysia, jossa riskit tunnistetaan, niille tehdään hallintakeinot ja riski hyväksytään johdon toimesta. Tämä asettaa vaatimuksia johdolle: heillä tulee olla tarvittava osaaminen riskienhallinnasta. Tarkoituksena on, että riskejä hallitaan kokonaisuutena ja että riskienhallinta on jatkuva prosessi – ei riitä, että riskit vain tunnistetaan, mutta niitä ei käsitellä. Hallintoelinten tulee hyväksyä riskienhallintakäytännöt sekä tunnistetut riskit ja niiden hallintakeinot säännöllisin välein. Näiden vaatimusten takia johdon vastuun merkitys korostuu. Lisäksi direktiivi vaatii jatkuvuudenhallintaa, jotta palveluiden saatavuus taataan. Organisaatiolla pitää myös olla prosessit poikkeaminen käsittelyyn ja kyky havaita poikkeamia ympäristössään.

Toimitusketjujen turvallisuudesta huolehtiminen mukaan direktiiviin

NIS2-direktiivin artikla 21 määrittelee kyberturvallisuusriskien hallintatoimenpiteet. Merkittävimmistä muutoksista edelliseen NIS1-direktiiviin on toimitusketjujen turvallisuudesta huolehtiminen. Tämä tarkoittaa sitä, että toimittajien ja alihankkijoiden vaatimuksenmukaisuutta tulee seurata. Hallintatoimet edellyttävät, että esimerkiksi riskienhallinnan, tietoturvan, pääsynhallinnan, jatkuvuudenhallinnan politiikat ja prosessit ovat kuvattuna ja käytössä. Henkilökunnan kyberturvallisuuskoulutuksesta ja -tietoisuudesta on huolehdittu. Direktiivi itsessään on teknologianeutraali, joten se ei vaadi mitään tiettyä tapaa tai tekniikkaa, kuinka vaatimukset täytetään.

Vaikka NIS2 on lakisääteinen sen piirissä oleville organisaatioille, sen käyttöönottoa ei kannata tarkastella ainoastaan pakollisten vaatimusten kautta, vaan huomioida, kuinka se parantaa organisaation kyberturvallisuutta ja riskien hallintaa.